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Abstract of DE19716197 

The invention relates to a microprocessor system 
for safety-critical control systems. The inventive 
microprocessor system is equipped with at least 
three central units (1, 2, 3). Said units are 
arranged preferably on a single chip and run the 
same program. Read-only memories (7, 17) and 
read-write memories (8, 18) with additional 
storage locations (12, 13) for test data, input- and 
output units (9, 19), and comparators (15, 22, 23) 
are also provided. Said comparators check the 
output signals from the central units (1, 2, 3) to 
make sure that they agree. The central units (1 , 
2, 3) are interconnected via bus systems (4, 5, 6) 
and bypasses (14, 16). These bypasses enable 
the central units (1 ,2,3) to read and run the same 
existing data, including the test data and 
commands, according to the same program. The 
central units (1, 2, 3) are extended into two 
complete control signal circuits by means of 
redundant peripheral components (10, 20) and 
are connected with each other in such a way that 
if a breakdown occurs, the defective central unit 
(1,2,3) is identified and an emergency operation 
function is maintained, by majority decision. 
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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

(S) Mikroprozessorsystem fur sicherheitskritische Regelungen 

@ Ein Mikroprozessorsystem fur sicherheitskritische Re- 
gelungen ist mit mindestens drei, vorzugsweise gemein- 
sam auf einem Chip angeordneten Zentraleinheiten (1, 2, 
3) ausgerustet, die das gleiche Programm abarbeiten. Au- 
fcerdem sind Festwertspeicher (7, 17) und Schreib-Lese- 
Speicher (8, 18) mit zusatzlichen Speicherplatzen (12, 13) 
fur Prufdaten, Eingabe- und Ausgabeeinheiten (9, 19) und 
Vergleicher (15, 22, 23) vorhanden, die die Ausgangssi- 
gnale der Zentraleinheiten (1, 2, 3) auf Obereinstimmung 
uberprufen. Die Zentraleinheiten (1, 2, 3) sind uber Bus- 
Systeme (4, 5, 6) und uber Bypasse (14, 16) untereinander 
verbunden, die den Zentraleinheiten (1, 2, 3) ein gemein- 
sames Lesen und Abarbeiten der anstehenden Daten, ein- 
schliefclich der Prufdaten und Befehle, nach dem gleichen 
Programm ermoglichen. 

Die Zentraleinheiten (1, 2, 3) sind durch redundante Peri- 
«™ pherie-Komponenten (10, 20) zu zwei vollstandigen Rege- 
^ lungssignalkreisen erweitert und derart zusammenge- 
~ schaltet, dafc bei einem Ausfall durch Majoritatsentscheid 
fs, die fehlerhafte Zentraleinheit (1, 2, 3) identifiziert und eine 

Notlauffunktion aufrechterhalten wird. 
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Beschreibung 

Die Erfindung bezieht sich auf ein Mikroprozessorsystem 
der im Oberbegriff des Hauptanspruchs beschriebenen Art. 
Es handelt sich also urn ein System fur sicherheitskritische 5 
Regelungen, mit redundanter Datenverarbeitung, mit rneh- 
reren Zentraleinheiten, welche iiber separate Bus-Systeme 
mit Festwertspeichem und Schreib-Lesespeichern, die auch 
Speicherplatze fur Prufdaten enthalten, mit Eingabe- und 
Ausgabeeinheiten und mit Vergleichern, die die Ausgangs- 10 
daten oder Ausgangssignale der Zentraleinheiten auf Uber- 
einstimmung uberpriifen, verbunden sind. Diese Zentralein- 
heiten arbeiten das gleiche Program m ab, wobei die Zentral- 
einheiten tiber die Bus-Systeme miteinander kommunizie- 
ren und wobei die Bus-Systeme untereinander durch By- 15 
passe verbunden sind, die den Zentraleinheiten ein gemein- 
sames Lesen und Abarbeiten der anstehenden Daten, ein- 
schlieBlich der Prufdaten und Befehle, ermoglichen. 

Zu den sicherheitskritischen Regelungen dieser Art zah- 
len u. a. die in die Bremsenfunktion eines Kraftfahrzeugs 20 
eingreifenden Regelungssysteme, die in groBer Anzahl und 
groBer Vielfalt auf dem Markt sind. Beispiele hierfur sind 
die A ntiblockiersy steme (ABS), Antriebsschlupfregelungs- 
sy steme (ASR), Fahrstabilitatsregelungen (FDR, ASMS), 
Fahrwerksregelungssy steme etc. Ein Ausfall eines solchen 25 
Regelungssystems fuhrt zur Gefahrdung der Fahrstabilitat 
des Fahrzeugs. Daher wird die Funktionsfahigkeit der Sy- 
steme standig iiberwacht, um beim Auftreten eines Fehlers 
die Regelung abschalten oder in einen fur die Sicherheit we- 
niger gefahrlichen Zustand umschalten zu konnen. 30 

Noch kritischer sind Bremssysteme bzw. Kraftfahrzeug- 
Regelungssy steme, bei denen bei Ausfall der Elektronik 
keine Umschaltung auf ein mechanisches oder hydrauli- 
sches System mdglich ist. Hierzu zahlen Bremssystemkon- 
zepte, wie "brakeby-wire", die voraussichtlich in der Zu- 35 
kunft noch an Bedeutung gewinnen werden; die Bremsen- 
funktion ist bei solchen Systemen auf eine intakte Elektro- 
nik angewiesen. 

Ein Beispiel fur eine Schaltungsanordnung oder ein Mi- 
croprozessorsystem zur Steuerung und Uberwachung einer 40 
blockiergeschiitzten Fahrzeugbremsanlage ist aus der 
DE 32 34 637 C2 bekannt. Nach dieser Schrift werden die 
Eingangsdaten zwei identisch programmierten Microcom- 
putern parallel zugefuhrt und dort synchron verarbeitet. Die 
Ausgangssignale und Zwischensignale der beiden Micro- 45 
computern werden mit Hilfe von redundanten Vergleichern 
auf Ubereinstimmung gepruft. Wenn die Signale voneinan- 
der abweichen, wird iiber eine ebenfalls redundant ausge- 
legte Schaltung eine Abschaltung der Regelung herbeige- 
fiihrt. Bei dieser bekannten Schaltung dient einer der beiden 50 
Microcomputer zur Erzeugung der Bremsdrucksteuersi- 
gnale, der andere zur Bildung der Priifsignale. Bei diesem 
symmetrisch aufgebauten Microprozessorsystem sind also 
zwei vollstandige Microcomputer, einschlieBlich der zuge- 
horigen Festwert- und Schreib-Lese-Speicher, erforderlich. 55 

Nach einem anderen bekannten System, nach dem die in 
der DE41 37 124 A 1 beschriebene Schaltung aufgebaut ist, 
werden die Eingangsdaten ebenfalls zwei Microcomputern 
parallel zugefuhrt, von denen jedoch nur einer die vollstan- 
dige, aufwendige Signalverarbeitung ausfuhrt. Der zweite 60 
Microcomputer dient vornehmlich zur Uberwachung, wes- 
halb die Eingangssignale nach Aufbereitung, Bildung von 
zeitlichen Ableitungen etc. mit Hilfe vereinfachter Regelal- 
gorithmen und vereinfachter Regelphilosophie weiterverar- 
beitet werden konnen. Die vereinfachte Datenverarbeitung 65 
reicht zur Erzeugung von Signalen aus, die durch Vergleich 
mit den in dem aufwendigeren Microcomputer verarbeiteten 
Signalen Riickschliisse auf den ordnungsgemaBen Betrieb 



2 

des Systems zulassen. Durch die Verwendung eines Priif- 
Microcomputers geringerer Leistungsfahigkeit laBt sich der 
Herstellungsaufwand im Vergleich zu einem System mit 
zwei vollstandigen, aufwendigen Microcomputern gleicher 
Leistung reduzieren. 

Aus der DE 43 41 082 Al ist bereits ein Mikroprozessor- 
system bekannt, das insbesondere fur das Regelsystem einer 
blockiergeschiitzten Bremsanlage vorgesehen ist. Dieses be- 
kannte System, das auf einem einzigen Chip untergebracht 
werden kann, enthait zwei Zentraleinheiten, in denen die 
Eingangsdaten parallel verarbeitet werden. Die Festwert- 
und die Schreib-Lese-Speicher, die an die beiden Zentral- 
einheiten angeschlossen sind, enthalten zusatzliche Spei- 
cherplatze fur Priifinformationen und urnfassen jeweils ei- 
nen Generator zur Erzeugung von Prufinformationen. Die 
Ausgangssignale eines der beiden Zentraleinheiten werden 
zur Erzeugung -der Steuersignale weiterverarbeitet, wah- 
rend die andere als passive Zentraleinheit lediglich zur 
Uberwachung der aktiven Zentraleinheit dient. 

Bei den vorgenannten, bekannten Systemen wird also 
grundsatzlich die erforderliche Sicherheit durch Redundanz 
der Datenverarbeitung erreicht. Im ersten Fall 
(DE 32 34 637 C2) basiert das System auf die Verwendung 
von zwei Prozessoren mit identischer Software, was in 
Fachkreisen als syrrimetrische Redundanz bezeichnet wird. 
Im zweiten Fall (DE 41 37 124 Al) werden zwei Prozesso- 
ren mit unterschiedlicher Software verwendet (sog. asym- 
metrische Redundanz). Grundsatzlich ist es auch moghch, 
einen einzigen Prozessor zu verwerten, der auf Basis unter- 
schiedlicher Algorithmen die Eingangsdaten verarbeitet, 
wobei dann zusatzliche Uberpriifungsalgorithmen zum 
Feststeilen eines fehierfreien Arbeitens Anwendung finden. 

SchlieBlich ist aus der DE 195 29 434 Al (P7959) bereits 
ein System der eingangs genannten Art bekannt, das man als 
System mit Kernredundanz interpretieren konnte. Bei die- 
sem bekannten Mikroprozessorsystem sind zwei synchron 
betriebene Zentraleinheiten auf einem oder auf mehreren 
Chips vorgesehen, die die gleichen Eingangsinformationen 
erhalten und das gleiche Programm abarbeiten. Die beiden 
Zentraleinheiten sind dabei iiber separate Bus-Systeme an 
die Festwert- und an die Schreib-Lese-Speicher sowie an 
Eingabe- und Ausgabeeinheiten angeschlossen. Die Bus- 
Systeme sind untereinander durch Treiberstufen bzw. By- 
passe verbunden sind, die den beiden Zentraleinheiten ein 
gemeinsames Lesen und Abarbeiten der zur Verfugung ste- 
henden Daten, einschlieBlich der Prufdaten und Befehle er- 
moglichen. Das System ermoglicht eine Einsparung von 
Speicherplatz. Nur eine der beiden Zentraleinheiten ist (di- 
rekt) mit einem vollwertigen Festwert- und einem Schreib- 
Lese-Speicher verbunden, wahrend die Speicherkapazitat 
des zweiten Prozessors auf Speicherplatze fur Prufdaten 
(Paritatsuberwachung) in Verbindung mit einem Priifdaten- 
generator beschrankt ist. Zugriff zu alien Daten besteht iiber 
die Bypasse. Dadurch sind beide Zentraleinheiten in der 
Lage, jeweils das vollstandige Programm abzuarbeiten. 

Alle vorgenannten Sy steme beruhen grundsatzlich auf 
dem Vergleich redundant verarbeiteter Daten und der Erzeu- 
gung eines Fehlersignals, wenn Abweichungen auftreten. 
Beim Auftreten eines Fehlers oder Ausfall eines Systems 
kann dann die Regelung abgeschaltet werden. In keinem 
Fall ist eine Notlauffunktion, namlich einer Fortsetzung der 
Regelung nach dem Auftreten des Fehlers, moglich. Eine 
solche Notlauffunktion ware grundsatzlich nur durch Ver- 
doppeiung der redundanten Systeme in Verbindung mit ei- 
nem Identifizieren und Abschalten der Fehlerquelle denk- 
bar. 

Der vorliegenden Erfindung liegt nun die Aufgabe zu- 
grunde, ein Mikroprozessorsystem der eingangs genannten m^^^ n 
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Art mit hochstens geringem Mehraufwand derail auszuge- 
stalten, daB beim Auftreten eines Fehlers ohne Beeintrachti- 
gung der Sicherheit eine Notiauffunktion moglich wird. 

Es hat sich herausgestellt, daB diese Aufgabe durch das 
im Anspruch 1 beschriebene Mikroprozessorsystem gelost 5 
werden kann. Die Besonderheit dieses Systems besteht 
darin, daB mindestens drei Zentraleinheiten mit den zugeho- 
rigen Bussystemen vorhanden sind, die durch redundante 
Peripherie-Einheiten zu mindestens zwei vollstandigen Re- 
gelungssignalkreisen erweitert und derart zusammenge- 10 
schaltet sind, daB bei Ausfall einer Zentraleinheit oder einer 
zugehorigen Komponente durch Majoritatsentscheid die 
fehlerhafte Zentraleinheit identifiziert wird und eine Not- 
iauffunktion gewahrleistet ist, wobei eine Ausgabe oder Er- 
zeugung von Steuersignalen in Abhangigkeit von der fehler- 15 
haften Zentraleinheit verhindert wird. Wahrend der Notiauf- 
funktion wird vorzugsweise eine redundante Daten verarbei- 
tung und Vergleich der Datenverarbeitungsergebnisse auf 
Ubereinstimmung aufrechterhalten und eine Nicht-Uberein- 
stimmung der Datenverarbeitungsergebnisse signalisiert. 20 

Die Erfindung geht also gewissermaBen von dem vorge- 
nannten, aus der DE 195 29 434 Al bekannten System aus, 
das im Prinzip aus einem vollstandigen und einem unvoll- 
standigen Datenverarbeitungssystem besteht, und erweitert 
dieses System durch ein zusatzliches, vollstandiges Daten- 25 
verarbei tun gssy stem mit den zugehorigen Peripherie-Ein- 
heiten. Auf diese Weise entstehen zwei vollstandige Rege- 
lungssignalkreise oder Regelungssignalverarbeitungssy- 
steme, die zu einem notlauffahigen Gesamtsystem zusam- 
mengeschaltet sind, das auch bei Ausfall eines Prozessors 30 
bzw. einer Zentraleinheit eine Aufrechterhaltung der Rege- 
iung mit redundanter Daten verarbei tung und damit mit der 
geforderten hohen Sicherheit gewahrleistet. Durch die erfin- 
dungsgemaBe Zusammenschaltung der einzelnen Systeme 
oder Komponenten wird also auch bei Ausfall eines Prozes- 35 
sors die Redundanz der Daten verarbeitung aufrechterhalten. 

Der Gesamtaufwand an Speicherplatzen, der wesentlich 
den Preis des Mikroprozessorsystems bestimmt, wird im 
Vergleich zu einer Verarbeitung in einem nicht redundanten 
System lediglich um wenig mehr als 100% erhoht, wobei 40 
die Auf tei lung und Zuordnung der Speicherplatze zu den 
einzelnen Prozessoren in weiten Grenzen variabel ist; es 
muB lediglich sichergestellt sein, daB jeder einzelne Prozes- 
sor bzw. jede einzelne Prozessoreinheit das voile Programm 
abarbeiten kann und auBerdem zu den Prufdaten bzw. Red- 45 
undanzdaten Zugriffhat. Im Vergleich zu einem nicht redun- 
danten System wird eine verdoppelte Speicherkapazitat, zu- 
ziiglich einiger Speicherplatze fur die Redundanzdaten, be- 
notigt. 

Die erfindungsgemaBe Ausgestaltung des Mikroprozes- 50 
sorsystems ermoglicht die Unterbringung aller oder der we- 
sentlichen Komponenten, insbesondere samtlicher Zentral- 
einheiten, Speicher, der Vergleicher und der Bypasse sowie 
ggf. auch der Eingabe- und Ausgabeeinheiten, auf einem 
einzigen Chip. 55 

Nach einem Ausfuhrungsbei spiel der Erfindung sind drei 
Zentraleinheiten mit je einem Bus-System vorgesehen sind, 
wobei fur die Festwert- und fiir die Schreib-Lese-Speicher 
jeweils mindestens die doppelte Anzahl von Speicherplat- 
zen im Vergleich zu den fur ein nicht redundantes System 60 
benotigten Speicherplatzen zur Verfugung steht. Uber die 
Bypasse sind alle Zentraleinheiten mit den Speicherplatzen 
in Schreib- und in Leserichtung und mit alien Eingabe- und 
Ausgabeeinheiten untereinander verbunden. 

Die drei Zentraleinheiten bilden zusammen mit den Spei- 65 
chern, mit den Eingabe- und Ausgabeeinheiten und mit den 
Peripherie-Einheiten, einschlieBlich der Spannungsversor- 
gung etc., insgesamt zwei vollstandige und ein unvollstandi- 



ges Datenverarbeitungssystem; die fur einen vollstandigen 
Programmablauf benotigten Speicherplatze sind allerdings 
auf jeweils zwei Datenverarbeitungssysteme aufgeteilt. 
Diese Datenverarbeitungssysteme umfassen vorteilhafter- 
weise jeweils mindestens eine Zentraleinheit und ein Bus- 
System sowie Festwert- und Schreib-Lese-Speicher und/ 
oder Redundanzinformationsspeicher, wobei die Speicher- 
platze derart auf die einzelnen Datenverarbeitungssysteme 
verteilt sind, daB beim Auftreten eines Fehlers und Uber- 
gang zur Notiauffunktion die intakten Systeme ausreichend 
Speicherplatze fur die komplette Daten verarbei tung und fur 
Redundanzinformationen enthalten und das komplette Pro- 
gramm abarbeiten. 

Ein weiteres Ausfuhrungsbeispiel nach der Erfindung be- 
steht darin, daB zumindest die Zentraleinheiten mit den Bus- 
Systemen, die Speicher, die Bypass-Einheiten, die Eingabe- 
und Ausgabeeinheiten und einige oder alle Vergleicher auf 
einem gemeinsamen Chip angeordnet sind. 

In den Unteranspriichen sind noch weitere vorteilhafte 
Ausfuhrungsbei spiele beschrieben. 

Aus der beigefugten Abbildung, welche in schemadsch 
vereinfachter Darstellung die wesentlichen Komponenten 
eines Mikroprozessorsystems nach der Erfindung wieder- 
gibt, und aus der nachfolgenden Beschreibung gehen wei- 
tere Einzelheiten der Erfindung hervor. Diese Abbildung 
dient zur Erlauterung des prinzipiellen Aufbaus und der 
Wirkungsweise eines Ausfuhrungsbeispiels der Erfindung. 

Die Abbildung bezieht sich auf ein Ein-Chip-Mikrocom- 
putersystem, das drei synchron betriebene Prozessoren oder 
Zentraleinheiten 1, 2, 3, die auch als Rechner- oder, wegen 
ihrer Funktion, als Prozessorkerne bezeichnet werden. Je- 
dem Prozessor ist ein Bus-System 4, 5, 6 zugeordnet. Die 
Zentraleinheiten 1, 2, 3 sind an eine synchrone Taktversor- 
gung cl (common clock), die redundant ausgelegt ist, ange- 
schlossen. 

Die Zentraleinheit 1 bzw. der Prozessorkern 1 ist durch 
einen Festwertspeicher 7 (ROM 1), durch einen Schreib-Le- 
se-Speicher 8 (RAM 1), durch eine Eingabe- und Ausgabe- 
einheit 9 zu einem vollstandigen Datenverarbeitungssystem 
oder Microcomputer MCI erganzt. Die notwendigen Peri- 
pheriekomponenten (Peripherie 1) sind durch einen exter- 
nen Block 10 symbolisiert. Zu den Peripheriekomponenten 
zahlen die Spannungsversorgung, die Zufuhrung der Ein- 
gangssignale (z. B. der Sensorsignale bei einem KFZ-Rege- 
lungssystem) und die Aktuator- oder Ventilansteuerung etc. 
mit Hilfe der Ausgangsdaten oder -signale der Datenverar- 
beitungssysteme. 

Ein zweites, un vollstandiges Datenverarbeitungssystem 
oder Mikrocomputer MC2, in dem die Zentraleinheit 2 un- 
tergebracht ist, enthalt im wiedergegebenen Ausfuhrungs- 
beispiel lediglich Speicherplatze fur Prufdaten bzw. fur die 
Redundanzfunktion. Symbolisch dargestellt sind im Inneren 
des Mikrocomputers MC2 Festwertspeicherplatze 12 fur 
eine Paritatsuberwachung (Paritats-ROM) und Speicher- 
platze 13 fur die Redundanzdaten im Schreib-Lese-Bereich 
(Paritats-ROM). Die zugehorigen Prufdaten- oder Redun- 
danzgeneratoren sind der besseren Ubersichtlichkeit wegen 
nicht dargestellt. 

Uber das Bus-System 5 (BUS 2) und uber einen Bypass 
14 sind BUS 1 (Bus-System 4) und BUS 2 (Bus-System 5) 
miteinander verbunden. Der Bypass 14 ermoglicht der Zen- 
traleinheit 1 ein Lesen der in den Speicherplatzen 12, 13 ge- 
speicherten Paritatsdaten und gestattet einen DatenfluB von 
den Speichern 7, 8 und dem Prozessorkern 1 des Mikrocom- 
puters MCI zu dem Mikrocomputer MC2, insbesondere zu 
der Zentraleinheit 2. Auf diese Weise ist ein redundantes 
Abarbeiten des vollstandigen Daten verarbeitungs-Pro- 
gramms durch beide Zentraleinheiten 1, 2 gewahrleistet. 
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Noch weitere Einzelheiten zu dem Aufbau und der Funkti- 
onsweise solcher Mikroprozessorsysteme sind der vorge- 
nannten DE 195 29 434 Al zu entnehmen. 

Die Datenverarbeitungs-Ergebnisse beider Systeme 
MCI, MC2 bzw. Prozessoren 1, 2 werden, wie ebenfails in 5 
der vorgenannten Schrift erlautert ist, mit Hilfe eines Ver- 
gleichers 15 auf Ubereinstimmung uberwacht; es ist ein un- 
mittelbarer Vergleich der Ausgangssignale beider Prozesso- 
ren mit Hilfe eines Hardware- Vergleichers 15 vorgesehen. 

Ein wesentliches Merkmal des Mikroprozessorsystems 10 
nach der Erfindung und des in der Abbildung dargestellten 
Ausfuhrungsbeispiels besteht nun darin, daB das eben be- 
schriebene, aus der DE 195 29 434 A 1 bekannte System 
durch ein weiteres, volistandiges Daten verarbeitungssy- 
stem, namlich durch einen Mikrocomputer MC3, der eben- 15 
falls mit dem unvollstandigen Mikrocomputer MC2 und 
auch mit dem Mikrocomputer MCI zusammenwirkt, erwei- 
tert ist. Ein Teil der Funktionen des zusatzlichen Mikrocom- 
putersystems (MC3), insbesondere das Speichern der Fest- 
wert- und der Schreib-Lese-Daten, kann allerdings auf das 20 
zweite Mikrocomputersystem MC2 und auch auf das erste 
System MCI ubertragen werden, weil das Gesamtsystem 
fiir die Gewahrleistung der Redundanzfunktion insgesamt 
nur die doppelte Speicherkapazitat, zuzuglich einiger Spei- 
cherplatze fur die Redundanzinformation, im Vergleich zu 25 
einem nicht redundanten, das gleiche Programrn abarbeiten- 
den System benotigt. Die Speicherkapazitat muB dabei auf 
die drei Datenverarbeitungssysteme MCI, MC2, MC3 der- 
art verteilt werden, daB bei Ausfall eines Systems die ver- 
bleibenden Systeme einen ausreichenden Speicherplatz, 30 
namlich mindestens 100% zuzuglich der Redundanzdaten, 
bieten. Im dargestellten Ausfuhrungsbeispiel sind die bei- 
den Mikrocomputersysteme MCI und MC3 jeweils mit ei- 
ner Speicherkapazitat von 100% im Vergleich zu den fiir ein 
nicht redundantes System benotigten Speicherplatzen aus- 35 
geriistet, wahrend sich im Mikrocomputersystem MC2 le- 
diglich die wenigen Platze fiir die Redundanzdaten befin- 
den. 

Das dritte Mikrocomputersystem MC3 ist mit dem (un- 
volistandigen) Mikrocomputer MC2 ebenfails durch einen 40 
Bypass bzw. eine Bypass-Einheit 16 verbunden. Dieser By- 
pass hat die gleiche Funktion wie der bereits eingehend be- 
schriebene Bypass 14 und ermoglicht daher auch den Zen- 
traleinheiten 2 und 3 die redundante Verarbeitung aller Ein- 
gangsdaten. 45 

Das Mikroprozessorsystem MC3 enthalt einen Festwert- 
speicher 17 (ROM 2), einen Schreib-Lese-Speicher 18 
(RAM 2), eine Eingabe- und Ausgabeeinheit 19 und Peri- 
pherie- Komponen ten 20 (Peripherie 2). MCI und MC3 sind 
im dargestellten Ausfuhrungsbeispiel vollstandige Mikro- 50 
computer, fiir die allerdings, wie zuvor erlautert, eine redu- 
zierte Speicherkapazitat geniigt. 

Uber die Bypasse 14, 16 ist ein DatenfluB in beiden Rich- 
tungen vom BUS 1 (Bus-System 4) zum BUS 3 (Bus-Sy- 
stem 6) gegeben. Zur weiteren Erhohung der Ausfallsicher- 55 
heit konnte es eventuell sinnvoll sein, uber einen zusatzli- 
chen Bypass, der nicht dargestellt ist, eine direkte Verbin- 
dung zwischen diesen beiden Bus-Systemen 4, 6 (BUS 1 
und BUS 3) herzustellen. 

Der Mikrocomputer MC3 besitzt hier den gleichen Auf- 60 
bau und die gleichen Komponenten wie der Mikrocomputer 
MCI. Folglich sind bei dem erfindungsgemaBen Mikropro- 
zessorsystem auch die Eingabe- und Ausgabeeinheiten 9, 19 
und die Peripherie-Komponenten 20, 21, zu denen die Span- 
nungsversorgung, der Sensorsignaleingang und die Aktua- 65 
toransteuerung zahien, zweimal vorhanden. 

Die Ausgangssignale oder Datenverarbeitungsergebnisse 
des dritten Mikrocomputers MC3 werden mit Hilfe eines 



Vergleichers 22 auf Ubereinstimmung mit den Ergebnissen 
oder Ausgangssignalen des Mikrocomputers MC2 bzw. der 
Zentraleinheit 2 sowie in gleicher Weise mit Hilfe des Ver- 
gleichers 23 auf Ubereinstimmung mit den Ergebnissen des 
MCI bzw. der Zentraleinheit 1 uberpriift. Dadurch ist nicht 
nur eine Fehlererkennung, sondern auch eine Identifizierung 
des Systems, in dem der Fehler liegt, rnoglich. In einer Iden- 
tifizierungs-Stufe 24, die vorzugsweise redundant ausge- 
fuhrt und der die Ausgangssignale der Vergleicher 15, 22, 23 
zugeleitet werden, wird durch eine Majoritatsentscheidung 
die Fehlerquelle erkannt und daraufhin das System auf eine 
Notlauffunktion umgeschaltet. Dies bedeutet, daB die Aus- 
gabe von Steuersignalen in Abhangigkeit von den fehierhaf- 
ten Datenverarbeitungsergebnissen verhindert und statt des- 
sen auf das intakte System umgeschaltet wird. Eine Verwer- 
tung der Datenverarbeitungsergebnisse wahrend der Not- 
laufTunktion ist deshalb auch bei sicherheitskritischen Rege- 
lungssystemen zulassig, weil auch bei Auftreten eines Feh- 
lers weiterhin eine redundante Daten verarbeitung gewahr- 
leistet ist. 

Das erfindungsgemaBe System laBt sich mit vergleichs- 
weise geringem Herstellungsaufwand realisieren. Im Prin- 
zip geniigt - im Vergleich zu dem bekannten System, das 
keinen Notlauf zulaBt - das Hinzufugen eines Prozessor- 
kerns und die Erhohung der Speicherkapazitat auf das 
1,5-fache. Eine klassische Losung mit NodaufTunktion 
wiirde mindestens den dreifachen Speicheraufwand erfor- 
dern; dies ist ein entscheidender Vorteil, weil die Kosten des 
Gesamtsy stems maBgeblich von der GroBe der Arbeitsspei- 
cher (Festwert- und Schreib-Lese-Speicher) bestimmt wer- 
den. 

Der Aufwand fiir die Vergleicher 15, 22, 23, die eine 
Identitatsiiberwachung durchfuhren, ist minimal. Der Aus- 
tausch von Signalen zwischen den einzelnen Mikrocompu- 
tern iiber die Bypasse erfordert keinen nennenswerten Auf- 
wand. Programmtechnisch wird eine Software fur ein 
scheinbares Einprozessorsystem realisiert; es werden keine 
Softwarestrukturen benotigt, die einen Austausch von Si- 
gnalen zwischen den Mikrocornputern realisieren oder Si- 
gnale auf Gleichheit oder Ahnlichkeit uberpriifen. 

Grundsatziich ist es auch rnoglich, beim Auftreten eines 
internen Rechnerfehlers die Ubernahme der Eingangsinfor- 
mation und der Signalausgabe durch den fehlerfreien Kreis 
durchzufuhren bzw. dem fehlerfreien Kreis zu ubertragen. 
Dies fuhrt zu weiteren Vereinfachungen und Systemfunktio- 



nen. 



Patentanspriiche 

1. Mikroprozessorsystem fur sicherheitskritische Re- 
gelungen, mit redundanter Daten verarbeitung, mit 
mehreren Zentraleinheiten (CPU's), die uber separate 
Bus-Sy steme mit Festwertspeichern und Schreib-Lese- 
speichem, die auch Speicherplatze fur Prufdaten ent- 
halten, mit Eingabe- und Ausgabeeinheiten und mit 
Vergleichern, die die Ausgangsdaten oder Ausgangssi- 
gnale der Zentraleinheiten auf Ubereinstimmung uber- 
priifen, verbunden sind und die das gleiche Programrn 
abarbeiten, wobei die Zentraleinheiten iiber die Bus- 
Systeme rniteinander kommunizieren und wobei die 
Bus-Sy steme untereinander durch Bypasse verbunden 
sind, die den Zentraleinheiten ein gemeinsames Lesen 
und Abarbeiten der anstehenden Daten, einschlieBlich 
der Prufdaten und Befehle, ermoglichen, dadurch ge- 
kennzeichnet, daB mindestens drei Zentraleinheiten 
(1, 2, 3) vorhanden sind, die durch redundante Periphe- 
re-Einheiten (10, 20) zu mindestens zwei vollstandigen 
Regelungjg^i^ 
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mengeschaltet sind, daB bei Ausfall einer Zentralein- 
heit (1, 2, 3) und/oder zugehoriger Komponenten durch 
Majoritatsentscheidung in einer Identiflzierungsstufe 
(24) die fehlerhafte Zentraleinheit identifizierbar und 
eine Notlauffunktion aufrechterhalten wird, wobei eine 
Ausgabe von Ausgangssignalen oder Steuersignalen 
unter EinschluB bzw. in Abhangigkeit von dem fehler- 
haften Systems bzw. der fehlerhaften Zentraleinheit 
verhindert wird. 

2. Mikroprozessorsystem nach Anspruch 1, dadurch 
gekennzeichnet, daB in der Notlauffunktion eine redun- 
dante Datenverarbeitung sowie Vergleich der Daten- 
verarbeitungsergebnisse auf Ubereinstimmung auf- 
rechterhalten und eine Nicht-Ubereinstimmung bzw. 
das Auftreten von Abweichungen zwischen den Daten- 
verarbeitungsergebnissen oder Zwischenergebnissen 
signalisiert wird. 

3. Mikroprozessorsystem nach Anspruch 1 oder 2, da- 
durch gekennzeichnet, daB drei Zentraleinheiten (1, 2, 

3) mit je einem Bus- System (4, 5, 6) vorgesehen sind 20 
und daB fur die Festwertspeicher (7, 12, 17) und fiir die 
Schreib-Lese-Speicher (8, 13, 18) jeweils mindestens 
die doppelte Kapazitat, zuziiglich einiger Speicher- 
platze fur die Redundanzdaten, im Vergleich zu der fiir 
ein nicht redundantes System benotigten Speicherka- 
pazitat zur Verfugung steht, wobei iiber die Bypasse 
(14, 16) eine Verbindung zwischen alien Zentraleinhei- 
ten (1, 2, 3) und den Speicherplatzen in Schreib- und 
Leserichtung und zu alien Eingabe- und Ausgabeein- 
heiten (9, 10) besteht. 

4. Mikroprozessorsystem nach Anspruch 3, dadurch 
gekennzeichnet, daB die drei Zentraleinheiten (1, 2, 3) 
zusammen mit den Speichern (7, 8, 12, 13, 17, 18), mit 
den Eingabe- und Ausgabeeinheiten (9, 10) und mit 
den Peripherie-Komponenten (10, 20) insgesamt zwei 
vollstandige und ein unvollstandiges Datenverarbei- 
tungs system bilden. 

5. Mikroprozessorsystem nach Anspruch 4, dadurch 
gekennzeichnet, daB die drei Datenverarbeitungssy- 
steme jeweils mindestens eine Zentraleinheit (1, 2, 3) 
und ein Bus- System (4, 5, 6) sowie Festwert- und 
Schreib-Lese-Speicher (7, 17; 8, 18) und/oder Redun- 
danzinformationsspeicher (12, 13) umfassen, wobei 
die Speicherplatze derart auf die einzelnen Datenverar- 
beitungssy steme verteilt sind, daB beim Auftreten eines 45 
Fehlers und Ubergang zur Notlauffunktion die intakten 
Systeme ausreichend Speicherplatze fiir die komplette 
Datenverarbeitung und fur die Redundanzinformatio- 
nen enthalten und das komplette Programm abarbeiten. 

6. Mikroprozessorsystem nach einem oder mehreren 
der Anspriiche 1 bis 5, dadurch gekennzeichnet, daB 
den Vergieichern (15, 22, 23) jeweils die Datenverar- 
beitungsergebnisse bzw. Ausgangssignale von zwei 
Zentraleinheiten (1, 2, 3) zufuhrbar sind. 

7. Mikroprozessorsystem nach einem oder mehreren 
der Anspriiche 1 bis 6, dadurch gekennzeichnet, daB 
zumindest die Zentraleinheiten (1, 2, 3) mit den Bus- 
Systemen (4, 5, 6), die Speicher (7, 8, 12, 13, 17, 18), 
die Bypasse (14, 16), die Eingabe- und Ausgabeeinhei- 
ten (9, 19), Vergleicher (15, 22, 23) und Identifizie- 
rungsstufen (24) auf einem gemeinsamen Chip ange- 
ordnet sind. 

8. Mikroprozessorsystem nach einem oder mehreren 
der Anspriiche 1 bis 7, dadurch gekennzeichnet, daB 
dieses fiir mehrere oder eine Kombination von Kraft- 
fahrzeug-Regelungssystemen, wie Brake-by- wire, 
ABS, ASR, ASMS etc., ausgelegt ist und daB die Not- 
lauffunktion die Aufrechterhaltung des Betriebs aller 
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Regelungssysteme erfaBt. 

9. Mikroprozessorsystem nach einem oder mehreren 
der Anspriiche 1 bis 7, dadurch gekennzeichnet, daB 
dieses fur mehrere oder eine Kombination von Kraft- 
fahrzeug-Regelungssystemen ausgelegt ist und daB die 
Notlauffunktion auf die Aufrechterhaltung des Be- 
triebs ausgewahlter Regelungsfunktionen, zum Bei- 
spiel besonders sicherheitskritischer Funktionen, be- 
schrankt ist. 
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